Microsoft afirma que los dispositivos Linux e Internet de las Cosas (IoT)
expuestos a Internet están siendo secuestrados en ataques de fuerza bruta como
parte de una campaña de cryptojacking observada recientemente.
Después de obtener acceso a un
sistema, los atacantes implementan un paquete OpenSSH troyanizado que les ayuda
a acceder a los dispositivos comprometidos y robar las credenciales de SSH para mantener la persistencia.
“Los parches instalan ganchos que interceptan las contraseñas
y claves de las conexiones SSH del dispositivo, ya sea como cliente o como
servidor”.“Además, los parches permiten el
inicio de sesión root a través de SSH y ocultan la presencia del intruso al
suprimir el registro de las sesiones SSH de los atacantes, que se distinguen
por una contraseña especial».
El script de shell de puerta trasera
implementado al mismo tiempo que el binario OpenSSH troyanizado agrega dos
claves públicas al archivo authorized_keys para acceso SSH persistente.
Además, permite a los hackers
recolectar información del sistema e instalar los rootkits LKM de código abierto
Reptile y Diamorphine para ocultar la actividad maliciosa en los sistemas
hackeados.
Los atacantes también usan la puerta
trasera para eliminar a otros mineros al agregar nuevas reglas de iptables y
entradas a /etc/hosts para reducir el tráfico a los hosts y las IPs utilizadas
por los competidores de cryptojacking de la operación.
«También identifica los procesos
y archivos mineros por sus nombres y los finaliza o bloquea el acceso a ellos,
y elimina el acceso SSH configurado en claves_autorizadas
por otros adversarios».-Microsoft.
Malware
Una versión del bot IRC de código
abierto ZiggyStarTux también implementada en el ataque viene con capacidades de
denegación de servicio distribuida (DDoS) y permite a los operadores ejecutar
comandos bash.
El malware de puerta trasera utiliza
múltiples técnicas para garantizar su persistencia en los sistemas
comprometidos, duplicando el binario en varias ubicaciones de disco y creando
trabajos cron para ejecutarlo periódicamente.
Además, registra ZiggyStarTux como un
servicio de systemd, configurando el archivo de servicio en
/etc/systemd/system/network-check.service.
El tráfico de comunicación del
servidor de comando y control entre los bots de ZiggyStarTux y los servidores
de IRC se camufla utilizando un subdominio que pertenece a una institución
financiera legítima del sudeste asiático alojada en la infraestructura del
atacante.
Mientras investigaba la campaña,
Microsoft observó que se instruía a los bots para que descargaran y ejecutaran
scripts de shell adicionales para aplicar fuerza bruta a cada host en vivo en
la subred del dispositivo hackeado y la puerta trasera en cualquier sistema
vulnerable que usara el paquete OpenSSH troyanizado.
Después de moverse lateralmente
dentro de la red de la víctima, el objetivo final de los atacantes parece ser
la instalación de malware de minería dirigido a sistemas Hiveon OS basados en
Linux diseñados para criptominería.
«La versión modificada de
OpenSSH imita la apariencia y el comportamiento de un servidor OpenSSH legítimo
y, por lo tanto, puede representar un mayor desafío para la detección que otros
archivos maliciosos».«El OpenSSH parcheado también
podría permitir que los atacantes accedan y comprometan dispositivos
adicionales. Este tipo de ataque demuestra las técnicas y la persistencia de
los adversarios que buscan infiltrarse y controlar los dispositivos
expuestos».
Los 8 mejores antivirus y antimalware para Linux